Отчего «прилёг» Рунет?

Вечером 30 января текущего года сайты, размещающиеся на доменах .ru, стали недоступны для пользователей интернета в России.

«Прямо сейчас, – сообщала „Фонтанка“, – интернет работает с перебоями в Петербурге, Москве, Екатеринбурге, Тюмени, Ростове на Дону, на Дальнем Востоке, в Калининграде, в Самаре, в Омске и в Казани. Как поясняют специалисты, если у кого-то нет проблем с Рунетом, то это говорит только о том, что у них не обновился кэш DNS: „Как только это произойдет, ляжет у всех“».

Жалобы были на проблемы с доступом к сайтам крупных банков, маркетплейсов и прочих часто используемых россиянами сервисов.

Позже выяснилось, что не открываются российские сайты также из Европы и Беларуси.

Технический сбой прокомментировал член правления РОЦИТ, директор Координационного центра доменных имен .RU/.РФ. Андрей Воробьев:

«Возникла техническая проблема, затронувшая зону .RU, связанная с глобальной инфраструктурой DNSSEC. Специалисты Технического центра Интернет и МСК-IX работают над её устранением. В настоящее время для абонентов НСДИ (национальной системы доменных имён) проблема решена. Идут восстановительные работы. Мы будем держать вас в курсе ситуации».

DNSSEC — это расширение протокола DNS, созданное с целью исправления базовой уязвимости протокола DNS (отсутствие шифрования и удостоверения достоверности ответа). Данное расширение было изобретено с целью добавления поддержки верификации получаемых от DNS-сервера записей (т.е. защиты от их перехвата и подмены).

«Поломка Рунета» случилась из-за того, что сервера доменных имен (DNS), отвечающие за работоспособность сайтов в домене верхнего уровня .ru, получили некорректные настройки DNSSEC.

Автор и создатель проекта «Эшер II» Филипп Кулин составил тайм-лайн происходивших в связи с этим событий:

«15:29:44: последний отмеченный корректный ответ
серийный номер SOA: 4058855

18:27:27: первый отмеченный сбойный ответ
серийный номер SOA: 4058857

20:27:35: отмечена попытка переподписать зону
серийные номера SOA: 4058857 и 4058858

20:59:46: начало процесса восстановления
серийные номера SOA: 4058856, 4058857 и 4058858

22:07:29: первый отмеченный полностью корректный ответ
серийный номер SOA: 4058856».

Позже в Минцифры подтвердили, что техническая проблема действительно связана с DNSSEC, а через несколько часов министерство отчиталось о решении проблемы.

В 21:05 большинство крупных банков восстановили работоспособность приложений. По словам собеседников «Ъ» на банковском рынке, сложности, возникшие в работе приложений, не привели к денежным рискам, но клиенты на какое-то время лишились возможности пользоваться мобильными приложениями для осуществления переводов и оплаты по QR-кодам через СБП.

Как предполагает проект «Сетевые Свободы», сбои были связаны с тем, что власти продолжают эксперименты с созданием национального сервиса доменных имен. Они добавили:

«Российские власти давно предупреждали, что постараются перевести всех пользователей страны на национальный сервер DNS. Вероятно, именно это сейчас и происходит с массой сайтов в зоне .ru».

За работу доменов .ru отвечают три организации: Координационный центр .RU/.РФ (КЦ) является администратором зоны, MSK-IX — поддерживает инфраструктуру и сервера DNS, а также «Технический центр Интернет» (ТЦИ) — обслуживает реестр доменов .ru. В КЦ в 20:14 сообщили «Ъ», что специалисты двух других структур работают над устранением проблемы и «идут восстановительные работы».

При этом там отметили, что для тех, кто подключился к национальной системе доменных имен (НСДИ, альтернативная DNS-инфраструктура, предусмотренная законом о «суверенном рунете»), проблема уже была решена.

В Роскомнадзоре, чья структура (ЦМУ ССОП ГРЧЦ) отвечает за работу НСДИ, также заявили о штатной работе «суверенной» системы, а вопросы по поводу работы DNS перенаправили в ТЦИ, там на запрос не ответили. В MSK-IX в ответ на запрос сообщили, что «разбираются в ситуации», и попросили ориентироваться на информацию Минцифры.

В чём была проблема, визуализировал в Twitter Филипп Кулин:

Что за проблема такая с RU и DNSSEC? Попробовал порисовать. Со звуком pic.twitter.com/uQBMBhos7J

— 💛💛❤️💙❤️💛💛 Phil Kulin (@schors) January 30, 2024

Подобные случаи вполне могут повториться, поэтому «Сетевые Свободы» дают следующие советы:

1. Пользователям – принудительно настроить использование DNS-серверов, не имеющих отношение к российским провайдерам, например Google 8.8.8.8.
2. Владельцам сайтов – учиться пользоваться сетями TOR или Yggdrasil, уводить свои ресурсы туда, подальше от контролируемых публичных DNS.

«Еще одна проблема заключается в том, что если эксперимент удастся, и национальный DNS сервер всё же будет запущен (начнет резолвить сайты для всех российских пользователей), то нет никакой гарантии, что он будет приводить ваши браузеры именно к тем сайтам, которые вы запросили, а также не будет фиксировать и передавать [куда следует] факты обращений с IP адресами», – подытоживают «Сетевые Свободы».

«Была проблема с разрешением имён в зоне .ru, – рассказал «Роскомсвободе» представитель мелкого российского оператора связи. – Причем, как я понимаю, зона «ру» отовсюду была недоступна. Намудрили с подписью зоны .ru регистраторы (кто самой зоной рулит), вследствие чего она инвалидировалась. Там, где какие-то имена были в кэше и там, где НЕ учитывается правильность подписи, – осталось в работе. В других случаях просто не было ответа от рекурсивных DNS. В общем, DNSSEC, который нужен, чтоб можно было валидировать записи, благодаря действиям кривых рук (или намеренно), дал сбой».

«Охват DNSSEC оказался больше умозрительного, – рассуждает Филипп Кулин. – Люди его используют. Это хорошо. Многие, кто использовал проверку DNSSEC — перестали. Потому что надо работать. Это плохо. НСДИ на страже зоны RU выключила (или и не включала) DNSSEC и отчиталась о решении проблемы. РКН разослал поручение Дополнительно, необходимо отключить валидацию DNSSEC на DNS-серверах. Угу. Средство от ожирения — толстый человек принимает его, и одним толстым человеком на земле становится меньше. У сотрудников ТЦИ похоже день не задался. Лучи сочувствия им».